チップス
どんぐり大学卒、一般企業の情報システム部で働く若手エンジニア。
入社1〜3年目らしい悩みを抱えつつ、日々の運用やセキュリティ対応に奮闘中。慌てんぼうだが素直で吸収力が高く、ボスに鍛えられながら着実に成長している。
ボス
セキュリティ、インフラ、運用の修羅場をくぐってきた歴戦のエンジニア。サイバーセキュリティラボの所長でボスと呼ばれている。
現場視点と経営視点の両方から、本当に使えるセキュリティとキャリア戦略を叩き込む。口は悪いが面倒見はよく、若手育成と実践的な情報発信に力を注いでいる。
「npmパッケージって、インストールするだけでマルウェアに感染するの?」
「axiosみたいなメジャーなライブラリまで危ないなんて、何を信じればいいの?」
チップスボス!axiosが乗っ取られたって聞いたでしゅ!
うちのプロジェクトでも使ってるんでしゅけど!?
ボスああ、北朝鮮系の攻撃グループがメンテナーのアカウントを奪って、バックドア入りのバージョンを公開した事件だ。
npm installしただけでRATが降ってくる。開発環境を狙った、厄介な攻撃だな。
2026年3月31日、月間1億ダウンロードを超えるJavaScriptライブラリ「axios」のnpmパッケージが侵害されました。
攻撃は約3時間で封じ込められましたが、その間にインストールした環境にはリモートアクセス型トロイの木馬(RAT)が仕込まれた可能性があります。
この記事では、攻撃の手口と、開発チームが確認すべき対策を解説します。
自社の開発環境やCI/CDパイプラインが影響を受けていないか、確認方法を具体的にお伝えします。
今回の攻撃は、オープンソースのサプライチェーンを狙った高度なものでした。
攻撃のタイムラインを整理します。
2026年3月31日 00:21〜03:20 UTC(日本時間9:21〜12:20)の約3時間が、攻撃が有効だった時間帯です。
latestタグが書き換えられたため、npm install axiosを実行した全員がバックドア入りバージョンをインストールする状態でした。
RATの名称は「WAVESHAPER.V2」。
ホスト名やOS情報の収集に加え、メモリ内でのPEインジェクションや任意のシェルコマンド実行が可能な本格的なバックドアです。
チップスnpm installしただけで感染するでしゅか!?
CI/CDで自動的にインストールしてたら気づかないでしゅよ……!
ボスそこが狙いだ。
開発者のローカル環境だけでなく、ビルドサーバーやデプロイパイプラインも汚染される。
Googleの脅威分析チームは、この攻撃を北朝鮮系グループUNC1069の仕業と分析している。
影響を受けた可能性がある環境では、以下の確認と対処を進めてください。
まず、自社環境が侵害されていないか確認するポイントです。
該当した場合は、axiosを安全なバージョン(1.14.0以前または1.14.2以降)に固定し、関連する開発端末・ビルドサーバーのマルウェアスキャンを実施してください。
再発防止に向けては、以下の対策が有効です。
今回の事件は、月間1億ダウンロード規模のパッケージでも侵害が起きる現実を突きつけました。
「有名なライブラリだから安全」という思い込みは、もう通用しません。
axiosのサプライチェーン攻撃は、npmメンテナーのアカウント奪取からわずか数時間で世界中の開発環境を脅かしました。
悪意あるバージョン(1.14.1、0.30.4)は素早く削除されましたが、その間にインストールした環境はWAVESHAPER.V2 RATに感染した恐れがあります。
package-lock.jsonの確認、CI/CDログの精査、依存関係スキャンの導入を早急に進めてください。
詳細はStepSecurityの分析レポートやSnykの解説も参考になります。
ボスサプライチェーン攻撃は、信頼の連鎖を断ち切る攻撃だ。
依存関係の管理は「開発の手間」ではなく「セキュリティ対策」として扱え。
チップスうう……npm install怖くなってきたでしゅ。
ロックファイル、ちゃんと管理しますでしゅ……!
